Настройка Cisco WLC + Flex Connect (H-REAP) + Dynamic VLAN Assignment + Microsoft NPS (RADIUS)

Больше
3 года 4 мес. назад - 3 года 3 мес. назад #215 от PNV
COM_KUNENA_MESSAGE_CREATED_NEW
Статья в процессе написания...

В данной статье описано создание единой универсальной беспроводной сети в рамках ЛВС предприятия (головной офис + филиалы), с применением контроллера Cisco WLC 2504 и точек доступа Cisco CAP2602i (Controller Based Access Point),с использованием технологий Flex Connect и Dynamic VLAN Assignment (динамическое присвоение VLAN'ов в соответствии с политиками доступа RADIUS-сервера). В качестве RADIUS-сервера выступает сервер Microsoft NPS (Network Policy Server).

Внутрикорпоративные клиенты (доменные компьютеры), которые будут подключаться к сети Universal, будут аутентифицироваться по машинным сертификатам, распространяемыми доменной политикой и соответственно попадать в свой VLAN. А внешние пользователи (гости) - при помощи гостевой доменной учетной записи (по логину и праролю), и будут попадать в свой VLAN. Устройства не поддерживающие 802.1х аутентификацию, будут подключаться к сети WEPPSK со своим VLAN.




Сначала немного о технологии FlexConnect (до настоящего времени, данная технология была известна как H-REAP Hybrid Remote Edge Access Point[/color][/i]).
Данная технология позволяет конфигурировать и управлять точками доступа в филиале или удаленном офисе из головного офиса через глобальную сеть (WAN + VPN) без развертывания контроллера в каждом офисе. В режиме FlexConnect точки доступа могут маршрутизировать трафик локально (в локальной сети удаленного офиса – local switching) без установки CAPWAP-туннеля с контроллером, и выполнять локально проверку подлинности клиента напрямую с точки доступа, либо с локального RADIUS-сервера филиала, когда связь с головным офисом и соответственно с контроллером - потеряна. Когда же контроллер доступен, то FlexConnect точки могут маршрутизировать трафик и аутентифицировать клиентов через контроллер (как и в обычном режиме Local с CAPWAP-туннелем – Central Switching).

FlexConnect-точка доступа может поддерживать три режима работы:
- central authentication, central switching – аутентификация и весь клиентский трафик проходят через контроллер;
- central authentication, local switching - аутентификация проходит на контроллере, а клиентский трафик маршрутизируется удаленно на самой точке доступа, без дополнительной нагрузки на канал между офисами;
- local authentication, local switching – аутентификация и маршрутизация полностью автономная, без использования контроллера.

В данной статье мы рассмотрим две наиболее встречающиеся ситуации:
1. Небольшой удаленный офис, без серверной инфраструктуры, интернет раздается через локальный маршрутизатор (чтобы не гонять wifi интернет-трафик через VPN). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal через контроллер и RADIUS-сервер головного офиса (контроллер будет выступать в качестве клиента для RADIUS-сервера), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), но трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK (для устаревших wifi устройств, без поддержки wpa), точка будет работать в полностью автономном режиме (local authentication, local switching).
В случае падения канала между данным офисом и головным офисом, клиенты подключенные до падения к обеим WLAN (Universal и WEPPSK) продолжают также работать. Но новые клиенты уже не смогут подключиться к сети Universal, в отличии от сети WEPPSK;

2. Удалённый филиал с серверной инфраструктурой (имеется локальный контроллер домена и RADIUS-сервер). Точка доступа FlexConnect для WLAN c SSID:Universal будет работать в режиме central authentication, local switching, при котором точка доступа будет аутентифицировать клиентов в WLAN с SSID: Universal на локальном RADIUS-сервере филиала (т.е. будет выступать непосредственно в качестве клиента для локального RADIUS-сервера филиала), для применения политик Universal сети и динамического присвоения VLAN (Dynamic VLAN Assignment), трафик будет маршрутизироваться на самой точке доступа без использования контроллера (чтобы избежать дополнительной нагрузки на канал между офисами). А для WLAN с SSID: WEPPSK – аналогично первому случаю.
В случае падения канала между данным филиалом и головным офисом, клиенты обеих WLAN будут продолжать работать и аутентифицироваться также как и до падения канала.


Теперь о технологии Dynamic VLAN Assignment.
Данная технология позволяет динамически распределять подключаемых к сети клиентов в ту или иную подсеть (VLAN), взависимости от политик созданных на сервере RADIUS. Т.е. по сути это одна из возможностей протокола RADIUS. Также о Dynamic VLAN Assignment можно прочитать в другой статье.



Далее приступим непосредственно к настройкам самого контроллера.

Сначала сделаем общие настройки, касаемо обоих режимов работы точек (LOCAL и FlexConnect):

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]




Следующие настройки будут относиться только к точкам доступа, работающим в режиме LOCAL, которые расположены в головном офисе вместе с контроллером.

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]




Далее переходим к настройкам точек доступа работающих в режиме FlexConnect.

ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


Дальше следуют описания настройки серверов и доменных политик


1. Создадим доменную политику распространения машинных сертификатов.
Предполагается, что в компании уже имеется свой сервер сертификатов (Certification Authority Server), посредством которого, будут распространяться сертификаты.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]


2. Создадим политику автоматического подключения к сети Universal по машинному сертификату компьютера.
Т.е. при помощи политики, на доменных компьютерах автоматически создается беспроводное сетевое подключение с предопределенными параметрами.
ВНИМАНИЕ: Спойлер! [ Нажмите, чтобы развернуть ]
Last edit: 3 года 3 мес. назад by PNV.
Спасибо сказали: doc_fbi

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
10 мес. 3 нед. назад #254 от doc_fbi
COM_KUNENA_MESSAGE_REPLIED_NEW
спасибо за статью, очень помогла
но обнаружилась трабла которую никак не могу победить
при коннекте с динамическим виланом
очень часто с первого раза не ходит трафик (даже DHCP) не получает
на контроллере появляться авторизованное соедините в нужном валине и нужным маком, а вот на ethernet порту этого мака нет. И адаптер ноутбука пишет, что отправленных пакетов "0"
для того чтобы соединение прошло надо несколько раз переподчинить к сети.
не знаете с чем может быть связанно?

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
10 мес. 3 нед. назад #255 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Возможно забыли создать нужный VLAN на коммутаторе, либо на точке VLANы не подмапированы. А так по хорошему нужна схема подключения , чтобы точно понять в чем дело.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
10 мес. 3 нед. назад #256 от doc_fbi
COM_KUNENA_MESSAGE_REPLIED_NEW
все это сделано, и как я писал выше - после нескольких попыток подключение устанавливается и работает

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
10 мес. 3 нед. назад #257 от PNV
COM_KUNENA_MESSAGE_REPLIED_NEW
Что в логах RADIUS-сервера? Сервер нормально отвечает? Проверьте без аутентификации через RADIUS, также будет или нет.

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Больше
10 мес. 3 нед. назад #258 от doc_fbi
COM_KUNENA_MESSAGE_REPLIED_NEW
да ISE отвечает, все нормально
пишет что отдает vlan
а вот приняла ли его точка , непонятно , так как а точке нет команды посмотреть в каком vlan мак
хотя с другой стороны , если бы подключению не прилетал бы vlan он бы попадал под натив и просто получал бы адрес в vlan где точки управляются

да есть сид без dinamic vlan - такая же петрушка

Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

Работает на Kunena форум